“万能恶意软件”开始快速流行

根据Picus Security的最新报告，可在网络杀伤链中执行恶意操作并逃避检测的“万能恶意软件”正在迅速增长。

该报告对来自商业和开源威胁情报，安全供应商和研究人员以及恶意软件沙箱和数据库中收集的超过55万个真实恶意软件样本进行了分析。

2022年恶意软件十大流行ATT&CK技术

研究人员提取了超过5万个恶意行为，并使用这些数据来统计2022年网络犯罪分子最常用的十种ATT&CK技术，列表如下（按流行度排序）：

• 使用命令和脚本解释器运行任意代码
• 从受感染系统的操作系统和实用程序转储凭据
• 数据加密
• 将恶意代码注入合法进程（DLL注入、线程执行劫持、进程挖空等）
• 收集有关计算机系统或网络的数据（以促进横向移动）
• 使用远程服务（例如RDP、SSH、VNC等）进行访问和控制
• 滥用WMI（Windows Management Instrumentation）在受感染的Windows主机中执行恶意命令和有效负载
• 计划任务/作业的使用
• 反虚拟化和反沙盒功能
• 发现远程主机和网络

分析表明：

• 恶意软件平均利用11种不同的策略、技术和程序（TTP）。三分之一的恶意软件（32%）利用20多个TTP，十分之一利用30多个TTP。
• 命令和脚本解释器是最流行的ATT&CK技术，近三分之一的恶意软件样本使用了该技术。远程系统发现和远程服务首次出现在列表中，这进一步证明了恶意软件现在可以滥用操作系统中的内置工具和协议来逃避检测。
• 在10种最流行的ATT&CK技术中，有4种用于在企业网络内横向移动。
• 四分之一的恶意软件能够加密数据，这凸显了勒索软件的持续威胁。

Picus Labs分析的总样本中有三分之一使用了超过20个TTP，这一事实表明恶意软件正在“瑞士军刀化”。恶意软件越来越多地滥用合法软件、执行横向移动和加密文件。其复杂程度日益提高可能得益于资源丰富的勒索软件集团的支持，同时也是针对防御者不断进步的基于行为的检测方法。

“万能”恶意软件成为趋势

“现代恶意软件有多种形式，”Picus Labs副总裁Suleyman Ozarslan博士指出：“一些恶意软件负责执行基本功能，就好比外科医生的手术刀，被设计成可以非常精确地执行单个任务。但是今天我们发现越来越多的恶意软件几乎可以做任何事情。这种‘瑞士军刀式’的恶意软件可以使攻击者以极快的速度在未被发现的情况下在网络中横向移动，获取访问关键系统的凭据并加密数据。”

面对防御日益复杂的恶意软件，安全团队必须持续发展完善安全防御方法，确定常用攻击技术的优先级，并不断验证安全控制的有效性，确保将注意力和资源集中在将产生最大影响的领域。